Este guia o orienta na configuração de permissões baseadas em funções para sua organização Enterprise. Isso permite controlar quais recursos e conectores equipes específicas ou grupos de membros podem acessar, e delegar acesso administrativo específico, como faturamento ou gerenciamento de usuários, em vez de dar a todos as mesmas permissões.
Antes de começar, certifique-se de estar familiarizado com:
Gerenciar grupos e limites de gastos de grupo em planos Enterprise — como criar e gerenciar grupos
Gerenciar funções personalizadas em planos Enterprise — como funções personalizadas e capacidades funcionam
Antes de começar
Você precisará de acesso de Proprietário ou Proprietário Primário à sua organização Enterprise, ou uma função personalizada com Identidade e Acesso definido como Gerenciar.
Observação: Algumas dessas etapas exigem mais do que a função personalizada Identidade e Acesso: habilitar recursos no nível da organização requer a função Proprietário, e alterar funções de membros requer Gerenciamento de Usuários definido como Gerenciar.
Verifique quais capacidades estão habilitadas no nível da organização. Vá para Configurações da organização e certifique-se de saber quais capacidades os membros podem acessar atualmente. Para configurações gerenciadas por RBAC, tanto a configuração da organização quanto a configuração de função são necessárias para que os usuários obtenham acesso.
Faça backup de sua lista de membros. Exporte um CSV de seus membros atuais de Configurações da organização > Membros antes de fazer qualquer alteração. Se algo der errado durante a migração, isso fornece uma referência para restaurar o acesso. Consulte Gerenciar membros em planos Team e Enterprise.
Determine quais equipes ou funções precisam de cada capacidade. Por exemplo, Engenharia obtém Claude Code + Modo Rápido e Marketing obtém Cowork + Busca na Web. A partir daqui, defina suas funções personalizadas.
Planos de dupla licença. Se sua organização está em um plano Enterprise de dupla licença (com assentos Chat e Chat + Claude Code), funções personalizadas não substituem restrições no nível de assento. Um membro atribuído a um assento somente Chat não pode acessar Claude Code mesmo se sua função personalizada o conceder. O mesmo se aplica ao contrário: se a função personalizada de um membro não conceder a capacidade de chat, ele não terá acesso ao chat independentemente do tipo de assento. Planeje sua estrutura de função com atribuições de assento em mente.
Observação: "Chat + Claude Code" refere-se a um tipo de assento em planos de dupla licença legados. A capacidade "chat" em funções personalizadas é separada — ela governa o acesso ao chat para qualquer membro cuja função está definida como "Personalizado" em qualquer plano.
Decida como você criará grupos. Você pode criar grupos manualmente no Claude, ou sincronizá-los de seu provedor de identidade (IdP) via SCIM. Você também pode usar ambos os métodos simultaneamente. Se você planeja usar grupos IdP do Okta, Entra ID ou outro provedor, certifique-se de que a sincronização de diretório SCIM está configurada. Consulte Configurar provisionamento JIT ou SCIM.
Adicione os conectores que você planeja governar. As permissões de conectores cobrem apenas conectores que um Proprietário ou Proprietário Primário já adicionou em Configurações da organização > Conectores e conectado com credenciais de administrador. Revise também sua política de ferramenta em toda a organização lá, já que concessões de função se estreitam dentro dela e não podem se ampliar além dela. Consulte Usar conectores para estender as capacidades do Claude.
Planejando sua estrutura de função
Antes de criar qualquer coisa, decida quais recursos cada equipe ou grupo de membros deve ter acesso. Aqui estão quatro padrões comuns:
Funções base mais aditivas
Esta é a abordagem recomendada para a maioria das organizações. Crie uma função "Acesso Padrão" para todos com recursos comuns como busca na web, memória e projetos. Em seguida, crie funções aditivas que concedem capacidades específicas — por exemplo, uma função "Cowork Habilitado" que apenas adiciona Cowork. Atribua todos os membros à função base através de um grupo "Todos os Usuários", e adicione membros específicos a grupos adicionais que adicionam recursos extras.
Este padrão é flexível porque as permissões são aditivas — combinar uma função base com funções aditivas se compõe de forma limpa sem conflitos.
Funções baseadas em camadas
Crie camadas distintas: "Acesso Completo" com todos os recursos, "Acesso Padrão" com a maioria dos recursos, e "Acesso Restrito" com recursos mínimos. Cada membro entra em exatamente um grupo atribuído a uma camada.
Funções baseadas em departamento
Crie funções que mapeiem para departamentos: "Engenharia" com chat, Cowork, Claude Code e execução de código; "Pesquisa" com chat, busca na web, memória e projetos; "Negócios" com chat, busca na web e apenas projetos. Atribua cada grupo de departamento à sua função correspondente.
Funções de delegação de administrador
Crie funções que delegam partes da administração sem conceder a função Proprietário. Uma função personalizada com permissões de administrador não precisa de nenhuma capacidade de usuário, e vice-versa. Você pode criar uma função "Finanças" que concede acesso de Faturamento mas nenhuma capacidade de chat ou Claude Code, ou uma função "Líder de Engenharia" que concede Claude Code mais acesso de visualização de Análises. Saiba mais sobre permissões de administrador para funções personalizadas.
Etapa 1: Auditar suas configurações atuais
Revise quais recursos estão atualmente habilitados ou desabilitados no nível da organização em Configurações da organização > Capacidades.
Vá para Configurações da organização > Membros para exportar ou revisar sua lista de membros.
Anote a função integrada atual de cada membro (Usuário, Administrador ou Proprietário).
Para cada equipe ou departamento, decida quais recursos eles precisam acessar.
Lembre-se: qualquer recurso que você queira controlar por grupo deve estar habilitado no nível da organização. Se um recurso está desativado no nível da organização, nenhuma função personalizada pode conceder acesso a ele.
Importante: Ao contrário dos membros com a função Usuário, membros atribuídos a funções personalizadas não herdam automaticamente capacidades habilitadas pela organização. Toda capacidade que um membro de função "Personalizado" precisa deve ser explicitamente concedida por uma função personalizada atribuída a um de seus grupos.
Etapa 2: Criar funções personalizadas
Crie suas funções personalizadas antes de habilitar qualquer recurso ou migrar membros. Isso garante que suas funções estejam prontas para aplicar acesso no momento em que os recursos forem ativados.
Navegue para Configurações da organização > Funções.
Clique em "Adicionar função."
Nomeie a função e alterne as capacidades apropriadas na aba Capacidades.
Na aba Permissões, defina permissões de administrador para a função. Consulte Etapa 3.
Na aba Conectores, defina permissões de conectores para a função. Consulte Etapa 4.
Na aba Modelos, defina acesso a modelos e um modelo padrão para a função. Consulte Etapa 5.
Clique em "Salvar função."
Repita para cada função em seu plano.
Alterações de função podem levar até 15 minutos para entrar em vigor. Os membros podem precisar atualizar seu navegador para ver o acesso atualizado.
Consulte Gerenciar funções personalizadas em planos Enterprise para detalhes sobre capacidades disponíveis, permissões de administrador e conectores.
Etapa 3: Configurar permissões de administrador (opcional)
Defina permissões de administrador em cada função para delegar acesso a configurações de administrador, como faturamento, gerenciamento de usuários ou privacidade, sem conceder a função Proprietário. Esta etapa é opcional. Se você não configurá-la, as funções não concedem acesso de administrador e a administração permanece com Proprietários e Proprietários Primários. Para saber o que cada área de permissão cobre, consulte Gerenciar funções personalizadas em planos Enterprise.
Localize a aba Permissões
Navegue até Configurações da organização > Funções.
Abra uma função existente ou clique em "Adicionar função" para criar uma.
Selecione a aba Permissões, entre Capacidades e Conectores.
Definir permissões de administrador
A aba Permissões lista cada área de administrador: Identidade & Acesso, Faturamento, Análises, Privacidade, Gerenciamento de Usuários e Bibliotecas. Defina cada área de administrador para uma das seguintes opções:
Sem acesso: O membro não vê essa área nas configurações da organização.
Pode visualizar: Visualizar concede acesso somente leitura. O membro vê as mesmas páginas e configurações de alguém que pode gerenciar essa área, mas todos os controles estão desabilitados ou mostrados como somente leitura. Use este nível de permissão para revisores de conformidade, auditores financeiros, equipes de segurança ou qualquer pessoa que precise ver a configuração sem alterá-la.
Pode gerenciar: Gerenciar concede acesso completo de leitura e escrita à área e inclui acesso de visualização.
Dentro de uma área, você concede todos os direitos de Visualizar ou todos os direitos de Gerenciar. Você não pode conceder ou restringir páginas ou configurações individuais.
Nota: Uma função com Identidade & Acesso definida como Gerenciar pode criar e editar grupos e funções, incluindo sua própria definição de função. Membros com essa permissão podem expandir seu próprio acesso, portanto, reserve-a para administradores de segurança e TI confiáveis.
Verificar aplicação
Verifique as permissões de administrador após migrar membros para funções "Personalizadas" (Etapa 7). Consulte Etapa 11: Verificar e monitorar.
Etapa 4: Configurar permissões de conector (opcional)
Defina permissões de conector em cada função para controlar quais conectores e quais ferramentas nesses conectores a função pode usar. Esta etapa é opcional. Se você não configurá-la, suas funções voltarão ao comportamento padrão descrito abaixo. Para saber como o modelo de permissão funciona de ponta a ponta, consulte Gerenciar funções personalizadas em planos Enterprise.
Importante: Quando a Anthropic ativa permissões de conector para sua organização, cada função personalizada existente é preenchida com a concessão "Todos os conectores" em "Sempre permitir". Como "Sempre permitir" é a concessão mais permissiva, sua política de ferramentas em toda a organização determina sozinha o teto efetivo de cada membro na ativação. Os membros não ganham nem perdem acesso na ativação. Sua primeira passagem de configuração reduz a partir dessa linha de base.
Nota: Uma função recém-criada usa como padrão "Precisa de aprovação" em cada conector. O fluxo de criação de função passa pela aba Conectores para que você veja esse padrão antes de salvar. Aumente um conector para "Sempre permitir" ou diminua para "Bloqueado" conforme necessário.
Localize a aba Conectores
Navegue até Configurações da organização > Funções.
Abra uma função existente ou clique em "Adicionar função" para criar uma.
Selecione a aba Conectores, ao lado de Permissões.
As configurações padrão para novas funções são permissivas. Ao criar ou modificar uma função, confirme as configurações em cada aba para evitar conceder permissões não intencionais.
Definir permissões no nível do conector
A aba Conectores lista uma linha Todos os conectores no topo, seguida por cada conector que sua organização adicionou. Cada linha tem um menu suspenso com quatro opções:
Sempre permitir: Todas as ferramentas no conector estão disponíveis e os membros podem definir sua própria aprovação como "Sempre permitir".
Precisa de aprovação: Todas as ferramentas estão disponíveis, mas os membros confirmam cada chamada.
Bloqueado: O conector fica oculto dos membros com essa função.
Personalizado: Defina cada ferramenta no conector individualmente. Consulte "Definir permissões por ferramenta" abaixo.
Escolher "Sempre permitir", "Precisa de aprovação" ou "Bloqueado" aplica esse nível a todas as ferramentas no conector. A linha Todos os conectores funciona da mesma forma um nível acima: define uma linha de base para cada conector de uma vez, incluindo qualquer conector que você adicione posteriormente. Use-a para definir um padrão da função e, em seguida, substitua conectores individuais.
Definir permissões por ferramenta
Defina um conector como Personalizado para revelar suas ferramentas como linhas individuais. Cada ferramenta tem seu próprio menu suspenso: "Sempre permitir", "Precisa de aprovação" ou "Bloqueado".
Permissões por ferramenta permitem que uma função acesse parte de um conector. Por exemplo, com Jira definido como Personalizado, sua ferramenta search_issues definida como "Precisa de aprovação" e todas as outras ferramentas Jira definidas como "Bloqueado", membros com a função podem pesquisar Jira, mas nada mais. Claude vê apenas as ferramentas que você concedeu, portanto, pedir-lhe para criar um ticket retorna "Não tenho uma ferramenta para isso" em vez de um erro.
Revisar conflitos entre funções
Como as permissões de conector são aditivas entre funções, bloquear um conector em uma função não tem efeito em um membro que também possui outra função que o concede. Cada linha de conector mostra um aviso quando outras funções concedem o mesmo conector em um nível diferente. O aviso nomeia essas funções e vincula a elas, e a concessão mais permissiva é a que se aplica.
Se você tiver edições não salvas ao abrir uma função vinculada, será solicitado que as descarte primeiro.
Verificar aplicação
Verifique as permissões de conector após migrar membros para funções "Personalizadas" (Etapa 7). Consulte Etapa 11: Verificar e monitorar.
Importante: Se sua organização usa Claude Code, ativar permissões de conector também aplica sua política de ferramentas em toda a organização ao Claude Code. Isso só pode restringir o acesso às ferramentas lá, nunca ampliá-lo, e afeta todos os membros. Revise sua política de ferramentas em toda a organização antes da ativação se Claude Code for amplamente implantado. Permissões de conector e Configurações Gerenciadas do Claude Code se compõem pela mais restritiva. Consulte Configurações do Claude Code.
Etapa 5: Configurar acesso ao modelo (opcional)
Defina o acesso ao modelo em cada função para controlar quais modelos Claude a função pode usar, limitar o nível de esforço máximo por modelo e escolher o modelo em que novas conversas começam. Esta etapa é opcional; se você não configurá-la, novas funções podem usar cada modelo habilitado no nível da organização, em qualquer nível de esforço, e começar no modelo padrão da organização.
Para saber como as configurações de acesso ao modelo e modelo padrão funcionam de ponta a ponta, consulte Gerenciar acesso ao modelo para sua organização e Definir um modelo padrão para sua organização.
Localize a aba Modelos
Navegue até Configurações da organização > Funções.
Abra uma função existente ou clique em "Adicionar função" para criar uma.
Selecione a aba Modelos, ao lado de Conectores.
Definir acesso ao modelo
Em Acesso ao modelo, ative ou desative cada modelo para essa função. Modelos desabilitados no nível da organização aparecem, mas não podem ser habilitados aqui até que você os ative para a organização em Configurações da organização > Modelos. Os modelos Haiku estão sempre ativados e não podem ser desabilitados.
Para limitar o nível de esforço que uma função pode selecionar em um modelo, clique no ícone de engrenagem ao lado do modelo e escolha um nível.
Em Modelo padrão, opcionalmente selecione o modelo em que novas conversas começam para essa função. Apenas modelos aos quais a função tem acesso podem ser selecionados.
Verificar aplicação
Verifique o acesso ao modelo após migrar membros para funções "Personalizadas". Consulte Etapa 11: Verificar e monitorar.
Etapa 6: Criar grupos e atribuir funções
Navegue até Configurações da organização > Grupos.
Clique em "Adicionar grupo" para criar um grupo para cada equipe ou nível em seu plano.
Adicione membros aos grupos apropriados.
Atribua cada grupo às funções personalizadas que você criou na etapa 2.
Se você usar sincronização de diretório SCIM, poderá sincronizar grupos do seu provedor de identidade em vez de criá-los manualmente. Para detalhes sobre sincronização de grupos SCIM, consulte Gerenciar grupos e limites de gastos de grupo em planos Enterprise.
Múltiplas organizações sob a mesma organização pai: Os grupos são gerenciados no nível da organização pai e se propagam para todas as organizações filhas. Você pode ver membros de outras organizações listados em um grupo—isso não significa que eles têm acesso à sua organização. As funções personalizadas atribuídas a um grupo concedem recursos apenas aos membros que fazem parte de sua organização específica.
Se você solicitar mover uma organização de um pai para outro (isso é raro na prática), os grupos e funções ficarão indefinidos e você precisará recriá-los.
Importante: Se sua organização usar Apenas convite ou provisionamento JIT, você poderá usar apenas grupos criados manualmente para RBAC. Grupos sincronizados por SCIM não são suportados nesses modos.
Etapa 7: Verificar atribuições de grupo e função
Antes de migrar membros para funções personalizadas, confirme que cada membro que você planeja migrar está em pelo menos um grupo atribuído a uma função personalizada. Membros que são migrados sem cobertura de grupo ou função perderão acesso a todos os recursos governados.
Navegue até Configurações da organização > Membros.
Use os filtros Função e Grupo para identificar membros que não estão atribuídos a nenhum grupo.
Como alternativa, clique em "Exportar CSV" para baixar a lista completa de membros com colunas de função e grupo para revisão.
Adicione todos os membros não atribuídos aos grupos apropriados antes de continuar.
Etapa 8: Migrar membros para funções personalizadas
Para que as capacidades de função personalizada entrem em vigor, os membros devem ter sua função definida como "Personalizado." Membros com as funções Usuário, Admin ou Proprietário obtêm suas permissões dessas funções diretamente, não de funções personalizadas.
Importante: Conclua esta etapa apenas depois de ter criado suas funções personalizadas, configurado permissões de admin e conector se estiver usando-as, criado seus grupos e verificado que todos os membros estão atribuídos a grupos. Membros movidos para funções personalizadas antes da conclusão da configuração perderão imediatamente o acesso a todos os recursos governados e sua função anterior. Mudar um Proprietário ou Admin para funções personalizadas remove seu acesso de Proprietário ou Admin, portanto não migre Proprietários ou Admins a menos que você pretenda substituir esse acesso por permissões de função personalizada.
Escolha o caminho de migração com base em se sua organização já habilitou mapeamentos de grupo:
Caminho A: Habilitar mapeamentos de grupo (apenas se já estiver em uso)
Use este caminho apenas se sua organização já habilitou mapeamentos de grupo para atribuição de função. Se você ainda não estiver usando essa configuração, pule para o Caminho B.
Navegue até Configurações da organização > Organização e acesso.
Na seção de mapeamentos de função, atribua os grupos IdP que você deseja governados por funções personalizadas à função "Personalizado".
Salve suas alterações. Membros nesses grupos IdP são migrados para funções "Personalizado" na próxima sincronização.
Membros em grupos IdP mapeados para funções "Personalizado" seguem as permissões das funções personalizadas atribuídas aos seus grupos no Claude. Membros em grupos IdP mapeados para Usuário seguem as configurações de capacidade no nível da organização. Se um membro estiver em grupos em ambos os mapeamentos, as funções "Personalizado" têm precedência.
Caminho B: Ferramenta de atribuição em massa
Use este caminho se sua organização não habilitou mapeamentos de grupo.
Aviso: Se você não habilitou mapeamentos de grupo, não o habilite durante a configuração de RBAC. Habilitá-lo sem primeiro atribuir todos os membros a grupos mapeados pode resultar em membros perdendo acesso à sua organização.
Navegue até Configurações da organização > Membros.
Use os filtros Função e Grupo para selecionar os membros que você deseja migrar.
Use a ferramenta de atribuição em massa na tabela Membros para alterar a função dos membros selecionados para "Personalizado".
Recomendamos migrar primeiro um grupo piloto—uma equipe ou departamento—e verificar se seu acesso está correto antes de expandir para o resto da organização.
Implantação gradual
Qualquer que seja o caminho que você use, recomendamos migrar em etapas:
Comece com um grupo piloto de uma equipe ou departamento.
Após a migração, verifique se o grupo piloto tem o acesso correto aos recursos com base em suas atribuições de grupo e função.
Se algo não estiver certo, mude os membros afetados de volta para sua função anterior enquanto você ajusta.
Expanda para mais membros depois de confirmar que a configuração funciona.
Etapa 9: Habilitar recursos no nível da organização
Habilite recursos no nível da organização apenas após as funções, grupos e migração de membros estarem completos. Isso garante que as capacidades de função personalizada já estejam em vigor, sem janela onde membros não autorizados possam acessar um recurso.
Para qualquer recurso que você deseje controlar por grupo:
Navegue até a página de configurações do recurso em Configurações da organização (por exemplo, Configurações da organização > Cowork).
Habilite o recurso no nível da organização.
Habilitar um recurso no nível da organização não significa que todos o obtenham—as permissões de função personalizada já estão em vigor para controlar quem pode usá-lo. Pense no botão no nível da organização como tornando o recurso "disponível para atribuição baseada em função" em vez de "ativado para todos".
Etapa 10: Aplicar um limite de gastos de grupo (apenas organizações baseadas em uso)
Navegue até a página "Uso" para atribuir um limite de gastos mensal por usuário a qualquer grupo.
Observe as seguintes regras de precedência:
Limites individuais sempre substituem limites de grupo, independentemente de qual é maior.
Se um usuário pertencer a vários grupos com limites diferentes, a configuração Limite de gastos de múltiplos grupos em Padrões de gastos controla se o limite superior ou inferior se aplica.
Limites em toda a organização permanecem como o teto máximo.
As alterações de associação entram em vigor automaticamente—os usuários herdam ou perdem limites assim que sua associação ao grupo muda. Relevante apenas para organizações com faturamento baseado em uso.
Etapa 11: Verificar e monitorar
Verificação pontual de acesso: Abra o menu "⋮" no lado direito da linha de um membro em Configurações da organização > Membros e selecione "Visualizar função efetiva." A janela modal mostra todas as capacidades, permissões de administrador e conectores que o membro possui em todas as suas funções, com um rótulo "Concedido por" indicando qual função fornece cada um. Você pode fazer o mesmo para um grupo em Configurações da organização > Grupos. Para mais detalhes, consulte Gerenciar funções personalizadas em planos Enterprise.
Teste o estado restrito: Faça login como (ou peça a) um membro que não deveria ter um recurso como Cowork. Ele deve vê-lo acinzentado com a mensagem "Entre em contato com seu administrador para solicitar acesso a este recurso."
Teste o estado concedido: Confirme que um membro que deveria ter o recurso o vê funcionando normalmente.
Verifique casos extremos: Teste membros em vários grupos, membros sem grupo e novos membros ingressando via SSO.
Se você configurou permissões de administrador, também verifique:
Atribuições de grupo e função: Os proprietários podem verificar o acesso de um membro verificando suas atribuições de grupo na página Membros e as funções atribuídas a esses grupos na página Funções.
Configurações da organização: Nas configurações da organização, o membro vê apenas as seções cobertas por suas permissões de administrador. Tudo o mais fica oculto de suas configurações. Membros com acesso de visualização veem as páginas como somente leitura, com controles desabilitados.
Acesso a análises: Membros com acesso a Análises visualizarão análises em Configurações > Análises, não em configurações da organização.
Se você configurou permissões de conector, também verifique:
Menu de conector: conectores bloqueados não aparecem, e conectores com pelo menos uma ferramenta concedida aparecem.
Configurações de conector: ferramentas bloqueadas ficam acinzentadas com "Esta ferramenta não está habilitada para sua função. Entre em contato com seu administrador." Ferramentas limitadas a "Precisa de aprovação" mostram um menu de aprovação pessoal limitado a "Solicitar" e "Nunca."
Em uma conversa: peça ao Claude para usar uma ferramenta bloqueada, e ele relata que não tem ferramenta para a tarefa. Peça-lhe para usar uma ferramenta "Precisa de aprovação", e o prompt de aprovação aparece sem uma opção "Sempre permitir".
Se você configurou acesso a modelos, também verifique:
Seletor de modelo: modelos desabilitados não aparecem, e o menu de esforço para no limite da função.
Em uma conversa: peça ao membro para mudar para um modelo desabilitado. Ele não deveria estar listado, e no Claude Code CLI, /model <disabled-model> retorna um erro.
As alterações de função podem levar até 15 minutos para entrar em vigor em toda a plataforma. Os membros podem precisar atualizar seu navegador para ver o acesso atualizado.
Usando SCIM com capacidades baseadas em funções
SCIM se conecta às suas capacidades baseadas em funções através de dois mecanismos que funcionam juntos.
Mapeamento de grupo IdP para função
Isso controla qual função integrada um membro recebe quando é provisionado. Mapeie seus grupos IdP para funções "Personalizadas" para que o acesso dos novos membros seja automaticamente governado pelas capacidades de função personalizada.
Navegue até Configurações da organização > Organização e acesso.
Na tabela de mapeamentos de função, mapeie seus grupos IdP para funções "Personalizadas".
Sincronização de grupo
Isso extrai seus grupos IdP para Claude para que possam ser atribuídos a funções personalizadas.
Navegue até Configurações da organização > Grupos
Clique em "Verificar atualizações" na seção Sincronização SCIM.
Quando solicitado a sincronizar Grupos, Membros ou Ambos, selecione apenas Grupos. Sincronizar Membros pode afetar o provisionamento e o acesso dos membros.
Seus grupos IdP aparecem como grupos originários de SCIM na lista.
Atribua grupos SCIM a funções personalizadas assim como grupos criados manualmente.
Em seu IdP, envie apenas os grupos que você realmente pretende usar para RBAC ou limites de gastos. Sincronizar todos os grupos IdP pode desacelerar o carregamento de páginas na seção Grupos.
Nota: As permissões de função personalizada só se aplicam a membros com funções "Personalizadas" selecionadas em Configurações da organização > Membros. Se você mapear um grupo IdP para uma função diferente (como Usuário) através do mapeamento de grupo para função, mas atribuir esse mesmo grupo SCIM a uma função personalizada, as permissões da função personalizada não têm efeito—o membro obtém suas permissões de sua função atribuída. Para usar funções personalizadas, certifique-se de que o grupo IdP está mapeado para "Personalizado".
Gerenciamento contínuo com SCIM
Para conceder a um membro acesso a um recurso, adicione-o ao grupo IdP apropriado. Na próxima sincronização, ele adquire a função personalizada atribuída a esse grupo.
Para revogar o acesso, remova-o do grupo IdP. Na próxima sincronização, a permissão é removida.
Clique em "Sincronização SCIM" na seção Grupos para forçar uma sincronização imediata em vez de esperar pela próxima sincronização agendada.
Plano de reversão
Se você notar que sua estrutura de função está mal configurada após a migração:
Desative todos os recursos no nível da organização que foram habilitados como parte da migração.
Altere os membros afetados de volta para sua função integrada anterior (por exemplo, Usuário).
Eles recuperam imediatamente as permissões estáticas dessa função, e as permissões de função personalizada deixam de se aplicar.
Ajuste funções e grupos conforme necessário e, em seguida, remigre.
Se você habilitou mapeamentos de grupo durante a configuração e perdeu o acesso de administrador, siga as etapas de recuperação em Configurar provisionamento JIT ou SCIM em "Perdi o acesso de Administrador/Proprietário após habilitar mapeamentos de grupo."
Perguntas frequentes
Preciso habilitar um recurso no nível da organização se quiser que apenas alguns membros o tenham?
Sim. O botão no nível da organização deve estar ativado para que as funções personalizadas controlem o acesso por membro. Se um recurso estiver desativado no nível da organização, ninguém poderá acessá-lo independentemente de sua função. Pense nisso como um interruptor principal—as funções personalizadas controlam quem obtém acesso abaixo dele.
O que acontece se um membro cuja função está definida como "Personalizado" não estiver em nenhum grupo?
Ele não tem permissões de função personalizada, portanto todos os recursos que exigem permissões ficam acinzentados ou ocultos. Certifique-se de que cada membro cuja função está definida como "Personalizado" esteja em pelo menos um grupo atribuído a uma função personalizada.
Um modelo está faltando no seletor de modelo de um membro.
Ou o modelo está desabilitado no nível da organização (Configurações da organização > Modelos) ou nenhuma das funções personalizadas do membro a concede. As desabilitações no nível da organização afetam todos, incluindo Proprietários e Administradores.
E se uma função personalizada não conceder acesso ao chat?
Os membros nessa função não verão a interface de chat do Claude. Eles chegarão à página de configurações quando fizerem login. Se sua função conceder outros produtos como Cowork ou Claude Code, eles permanecerão acessíveis na página de configurações e nos aplicativos relevantes.
O chat está habilitado por padrão em todas as funções personalizadas, portanto você só precisa se preocupar com isso se desabilitou intencionalmente o chat para uma função.
Posso usar funções integradas e personalizadas?
Sim. Os membros com as funções Usuário, Administrador ou Proprietário não são afetados pelas permissões de função personalizada porque obtêm suas permissões diretamente dessas funções. Apenas membros com uma função definida como "Personalizada" são controlados pelo sistema de grupo e função. Isso permite migração gradual.
E se um membro estiver em dois grupos com funções diferentes?
As permissões são aditivas. Se qualquer função na cadeia de um membro conceder um recurso, ele o terá. Você não pode usar uma função para remover uma permissão concedida por outra função.
Posso usar grupos SCIM e grupos manuais juntos?
Sim. Ambos os tipos podem ser atribuídos a funções personalizadas. A diferença é que a associação ao grupo SCIM é gerenciada no seu provedor de identidade, enquanto a associação ao grupo manual é gerenciada nas configurações da organização do Claude.
Proprietários e Proprietários Primários são afetados pelas permissões de função personalizada?
Não. Proprietários e Proprietários Primários sempre têm acesso total a todos os recursos.
Como isso funciona entre organizações pai e filho?
Grupos e sincronização SCIM são gerenciados no nível da organização pai e compartilhados em todas as organizações filho. Atribuições de função e limite de gastos são configuradas independentemente em cada organização filho — alterações em uma organização filho não afetam outras. Alterações de associação ao grupo e ressincronizações SCIM se propagam em todas as organizações filho sob o mesmo pai.
O que acontece com minhas funções personalizadas existentes quando as permissões do conector são habilitadas?
Cada função existente é inicializada com a concessão "Todos os conectores" em "Sempre permitir", portanto o acesso dos membros não muda na habilitação. Você restringe o acesso a partir daí.
Qual é a permissão de conector padrão em uma nova função?
"Precisa de aprovação" em cada conector. O fluxo de criação de função passa pela guia Conectores para que você veja isso antes de salvar.
O que acontece quando adiciono um novo conector depois que minhas funções existem?
Uma função cuja linha "Todos os conectores" está definida como "Sempre permitir", "Precisa de aprovação" ou "Bloqueado" cobre o novo conector nesse nível automaticamente. Uma função cuja linha "Todos os conectores" está definida como "Personalizado" trata o novo conector como "Bloqueado" até que você o configure.
Bloqueei um conector em uma função, mas um membro com essa função ainda pode usá-lo. Por quê?
Verifique se o membro possui outra função que o concede, pois a concessão mais permissiva vence entre funções. O aviso de conflito na linha do conector lista essas funções. Também confirme se a função do membro está definida como "Personalizado".
Minha política de ferramenta em toda a organização já bloqueia uma ferramenta. Preciso bloqueá-la em cada função?
Não. A política em toda a organização é o limite máximo. Uma ferramenta bloqueada lá é bloqueada para todos, independentemente das concessões de função.
Uma função pode conceder uma ferramenta que a política em toda a organização define como "Precisa de aprovação"?
A função pode concedê-la, mas a configuração mais restritiva vence, portanto os membros a veem limitada a "Precisa de aprovação". Para permitir que os membros definam "Sempre permitir", primeiro aumente a política em toda a organização para "Sempre permitir".
Posso conceder uma ferramenta em um conector sem conceder o conector inteiro?
Sim. Defina o conector como "Personalizado", defina a ferramenta como "Sempre permitir" ou "Precisa de aprovação" e deixe o resto "Bloqueado".
As permissões do conector se aplicam a ferramentas integradas como pesquisa na web ou execução de código?
Não. Os recursos integrados são governados na guia Capacidades. A guia Conectores governa conectores que sua organização adicionou.
Com que rapidez as alterações de permissão do conector entram em vigor?
As alterações de função podem levar até 15 minutos para entrar em vigor. Os membros podem precisar atualizar o navegador.
Alguém em uma função personalizada com permissões pode se dar mais acesso?
Apenas se sua função incluir Identidade e Acesso definido como Gerenciar, que cobre edição de funções e grupos. Reserve essa permissão para administradores de segurança e TI confiáveis, pois pode ser usada para alterar definições de função, incluindo as suas.
Posso dar permissões de administrador a um membro na função Usuário, Administrador, Proprietário ou Proprietário Primário?
Não. As permissões de administrador se aplicam apenas a membros em uma função personalizada. Os membros em uma função integrada mantêm o acesso que essa função concede. Para dar a alguém permissões de administrador específicas, altere o membro para uma função personalizada e adicione-o a um grupo atribuído a uma função com as permissões necessárias. Tenha em mente que isso remove seu acesso anterior à função integrada.
O que alguém vê quando não tem permissões para uma determinada configuração?
As configurações da organização mostram apenas as seções que suas permissões cobrem. As seções às quais não têm acesso são ocultadas completamente de suas configurações da organização.
Como faço para auditar quem tem acesso de administrador?
Configurações da organização > Funções mostra as permissões de administrador que cada função personalizada concede, e Configurações da organização > Grupos mostra quais grupos são atribuídos a cada função e quem pertence a eles. Para verificar um membro específico, procure seus grupos em Configurações da organização > Membros, depois as funções às quais esses grupos são atribuídos.
E se alguém precisar de permissões em várias áreas?
Crie uma função que conceda acesso a várias áreas ou adicione o membro a vários grupos cujas funções cobrem as áreas necessárias. As permissões se combinam de forma aditiva.





